Che cos’è DMARC, Record, Monitoraggio e Politica

Sapere che cos’è il DMARC e come utilizzarlo per proteggere mittenti e destinatari è importante quando si crea una campagna email. I controlli DMARC aiutano a impedire l’uso non autorizzato del dominio, che a sua volta riduce lo spam nelle caselle di posta dei destinatari.

Se desideri saperne di più sul significato del DMARC, sulla sua politica e su come può influire sulla tua campagna di email marketing, continua a leggere.

DMARC utilizza Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per valutare l’autenticità dei messaggi email. Insieme, questi strumenti impediscono pratiche come il phishing e lo spoofing dei domini.

Il phishing è un crimine informatico in cui qualcuno si presenta come un’entità credibile, ad esempio una banca o un’agenzia governativa o persino come il proprio datore di lavoro, per cercare di raccogliere informazioni sensibili, come i dettagli della carta di credito o il numero di previdenza sociale. Lo spoofing di dominio è una forma di phishing che consiste nell’utilizzare un falso indirizzo email o dominio per apparire legittimo.

DMARC consente ai proprietari di dominio di definire il modo in cui gestire un’email che sembra essere inviata da quel dominio se non include le informazioni giuste. Ad esempio, le email non autenticate possono essere bloccate o inviate direttamente a una cartella di posta indesiderata, in base alle impostazioni inserite nei record per il dominio di tale indirizzo email.

Perché il DMARC è importante?

Spammer e phishing hanno molto da guadagnare compromettendo gli account utente. Ottenendo l’accesso a password, informazioni sulle carte di credito, conti bancari e altri strumenti finanziari, gli autori di attacchi dannosi possono facilmente accedere al denaro delle loro vittime prima che le stesse si rendano conto di essere state truffate.

L’email è un obiettivo particolarmente attraente e comune, specialmente per lo spoofing. Anche qualcosa di semplice, come l’inserimento del logo di un brand noto in un’email, può indurre alcuni destinatari a credere di aver ricevuto una comunicazione legittima.

DMARC lavora per risolvere questo problema su larga scala. In realtà, i servizi di posta elettronica gratuiti come Google, Yahoo o Hotmail non possono ispezionare tutte le email che passano attraverso i loro server per stabilire quali possono essere fraudolente.

I record SPF e DKIM possono essere di aiuto, ma questi processi hanno una portata limitata da soli. Se utilizzati con DMARC, questi protocolli aiutano mittenti e destinatari a collaborare per proteggere meglio le email.

I record DMARC sono un elemento importante per proteggere la tua attività e le persone a cui invii le email. Oltre a proteggere il dominio dall’uso non autorizzato, il DMARC consente di stabilire chi utilizza il dominio email per inviare messaggi non autorizzati.

DMARC offre 3 vantaggi principali: sicurezza, reputazione e visibilità.

Sicurezza

Oltre a proteggere i clienti, l’utilizzo di DMARC è vantaggioso per la comunità delle email nel suo complesso. Creando un quadro di riferimento per una politica coerente per gestire le email non autenticate, DMARC aiuta l’ecosistema delle email a diventare più affidabile e sicuro.

Reputazione

DMARC protegge i brand fungendo da gatekeeper e impedisce ai malintenzionati di falsificare il dominio e inviare email che sembrano provenire dal brand. La pubblicazione del record DMARC può dare una spinta alla tua reputazione.

Visibilità

Il DMARC ti offre una maggiore conoscenza del programma di posta elettronica ad alto livello, consentendoti di scoprire l’identità di tutti coloro che inviano email dal tuo dominio.

Background del DMARC

Per comprendere il DMARC, è importante capire i principi fondamentali di SPF e DKIM e record DNS (Domain Name System). Infatti, il DMARC si basa sulle tecniche SPF e DKIM.

SPF

Il protocollo SPF aiuta a rilevare le frodi esaminando l’indirizzo Return-Path indicato nell’email. Questo indirizzo email viene anche chiamato Mail From o indirizzo bounce.

Quando, dopo svariati tentativi o a causa di un ritardo, non è possibile inviare un’email al destinatario previsto, di solito viene inviata una notifica del problema all’indirizzo Return-Path.

Ecco come quest’ultimo viene utilizzato per consentire l’autenticazione delle email.

I proprietari di domini possono decidere da quali server di posta il loro dominio è autorizzato a effettuare l’invio quando collegano un dominio e impostano i protocolli SPF.

1. Le informazioni SPF vengono inserite in un record TXT per definire i server di posta autorizzati a inviare email per un dominio.
2. Un server di posta in entrata riceve una nuova email e controlla le regole del dominio relative all’indirizzo email Return-Path. Il server in entrata confronta l’indirizzo IP del mittente con i domini e/o gli indirizzi IP definiti nel record SPF.
3. Il server di destinazione utilizza le regole specificate nel record SPF del mittente e decide se accettare, rifiutare o contrassegnare in altro modo il messaggio.

DKIM

Il DKIM è una tecnica di autenticazione email che garantisce che il contenuto delle email sia protetto da manomissioni, utilizzando una firma digitale crittografata. Le firme DKIM vengono aggiunte come intestazioni ai messaggi email e protette con crittografia a chiave pubblica.

Quando un server di destinazione stabilisce che la firma DKIM di un’e-mail è valida, conferma che l’email e gli allegati non sono stati modificati. Questo processo non è in genere visibile agli utenti finali, come il destinatario stesso del messaggio email.

Come funziona DKIM

Ecco come vengono convalidate le firme DKIM:

1. Il proprietario del dominio pubblica una chiave di crittografia univoca, formattata come un record TXT all’interno del record DNS del dominio.
2. Quando un messaggio viene inviato da un server in uscita, genera e allega una firma DKIM univoca all’intestazione.
3. I server in entrata ricevono un hash crittografato del corpo del messaggio.
4. Il server di destinazione individua innanzitutto la chiave pubblica DKIM a cui fa riferimento la firma DKIM e che è memorizzata nei record DNS.
5. La chiave viene utilizzata per decrittografare l’hash, generare un nuovo hash del corpo del messaggio e confrontarlo con l’originale incluso dal mittente.
6. Se i due hash corrispondono, il sistema conferma che il messaggio non è stato modificato durante il trasferimento.

Record A

Il tipo di record DNS che collega i domini a un indirizzo IP si chiama record di indirizzo. Quando si utilizzano gli indirizzi IPv4, questo record viene definito record A.

Se si visita mailchimp.com, il browser chiede a un server DNS vicino se ha l’indirizzo IP di mailchimp.com. Se l’IP è registrato, lo invia al browser. In caso contrario, indica al browser dove trovare un altro server DNS che lo possiede, e così via fino a quando l’IP viene trasmesso all’utente insieme al sito web.

Record CNAME

Un record CNAME (Canonical Name) è un tipo di record DNS che mappa un nome alias a un vero nome di dominio (canonico). I record CNAME di solito mappano un sottodominio come “www” o “mailto:” al dominio che ospita il contenuto di quel sottodominio. Ad esempio, un record CNAME può mappare l’indirizzo web www.mailchimp.com al sito web del dominio mailchimp.com.

È possibile aggiungere un record CNAME alle impostazioni DNS se si desidera personalizzare un indirizzo web, verificare la proprietà del dominio, reimpostare la password di amministrazione e molto altro.

Storia del DMARC

I protocolli SPF e DKIM sono stati sviluppati diversi anni fa per contribuire alla sicurezza dell’ecosistema email. Sebbene l’uso di questi strumenti sia aumentato nel tempo, le email fraudolente e ingannevoli sono ancora un problema diffuso. Lo standard DMARC è stato creato per superare diversi problemi frequenti:

• I mittenti con più sistemi che inviano email dovevano affrontare una grande complessità nel tentativo di operare con i protocolli SPF e DKIM.
• Quando un insieme di email autenticate, non autenticate e non allineate viene inviato dallo stesso dominio, i server di destinazione devono riconoscere quelle legittime e quelle fraudolente. Ciò interferisce con gli algoritmi di spam e provoca l’arrivo di messaggi fraudolenti nelle caselle di posta.
• Con i protocolli SPF e DKIM, i mittenti ottengono pochi feedback sulle loro implementazioni di autenticazione delle email. A meno che l’email non venga respinta, i mittenti non hanno modo di sapere quanti messaggi legittimi vengono inviati senza autenticazione o la quantità di email fraudolente inviate dal loro dominio.
• Anche quando i mittenti proteggono la loro infrastruttura di autenticazione delle email, i destinatari sono programmati per accettare alcuni messaggi non autenticati, perché è possibile che arrivino messaggi legittimi senza firma.

Per risolvere questi problemi, mittenti e destinatari devono scambiarsi le informazioni. Idealmente, i destinatari trasmettono ai mittenti le segnalazioni, mentre i mittenti indicano ai destinatari cosa fare quando ricevono messaggi non autenticati.

Il DMARC si basa sull’idea che il mittente e il destinatario collaborino per migliorare le pratiche di autenticazione delle email e per consentire ai destinatari di rifiutare i messaggi non autenticati.

Come funziona l’autenticazione email DMARC

Il DMARC si inserisce nei processi di autenticazione delle email in entrata già esistenti. Aiuta i destinatari a stabilire se un messaggio è in linea con ciò che sanno di un mittente.

Se il messaggio non è allineato, il server di destinazione può verificare il record DMARC per ottenere indicazioni su come gestire il messaggio in questione. Ecco un esempio di questo flusso per un destinatario che utilizza SPF e DKIM e filtri anti-spam (una configurazione comune):

1. Un utente scrive e invia un’email.
2. Il server di invio inserisce un’intestazione DKIM.
3. Il server di invio invia l’email al destinatario.
4. L’email passa attraverso i test di convalida standard (liste di blocco IP, limiti di frequenza, test di reputazione e così via).
5. Il server di destinazione recupera i domini DKIM verificati in base all’intestazione, un “envelope from” tramite SPF e applica i criteri DMARC, facendo passare l’email, mettendola in quarantena o rifiutandola e inviando un report al server del mittente. In altre parole, si può dire che a questo punto il server di destinazione cerca una risposta affermativa a tre domande chiave:
   • La firma DKIM è valida?
   • Il messaggio proviene da un indirizzo IP accettato secondo il record SPF?
   • Le intestazioni dei messaggi mostrano il giusto allineamento del dominio?
6. L’email passa attraverso i filtri anti-spam e viene sottoposta ad altri processi standard.

In questo modo, il DMARC soddisfa diversi requisiti ad alto livello:

• Meno falsi positivi
• Report di autenticazione affidabili
• Riduzione del phishing
• Lavoro con volumi scalabili ed elevati

Anche se non tutti i server di destinazione eseguono un controllo DMARC prima di consentire il passaggio di un messaggio, i principali ISP di solito lo fanno. La diffusione del DMARC è in crescita.

Il tuo record DMARC

Insieme ai record DNS, il record DMARC viene pubblicato e reso disponibile a chiunque online. In questa sezione, esamineremo come è possibile esaminare il record DMARC di un dominio e il significato delle parti del record.

Verifica e decodifica di un record DMARC

La verifica di un dominio per un record DMARC può essere eseguita dalla riga di comando della finestra di un terminale. Per esempio:

dig txt dmarc.mailchimp.com

In alternativa, DMARC.org fornisce un elenco di altre aziende commerciali che offrono la ricerca e l’analisi dei record DNS, compresi strumenti per la revisione del DMARC.

Ecco il record DMARC di Mailchimp:

v=DMARC1; p=reject; rua=mailto:19ezfriw@ag.dmarcian.com; ruf=mailto:19ezfriw@fr.dmarcian.com

Il record DMARC è memorizzato nel sottodominio dmarc di mailchimp.com come record TXT. Visualizza diverse informazioni sul dominio che influenzano il modo in cui un’email inviata da questo dominio sarà trattata dai server di posta elettronica che la ricevono.

v=DMARC1

Il server di destinazione cerca l’identificatore v=DMARC1 quando analizza un record DNS per trovare il dominio che invia il messaggio. Se il server di destinazione non trova questo tag, non esegue il controllo DMARC.

p=reject, p=none, p=quarantine

La p qui sta per “politica”. I titolari dei domini possono scegliere tra 3 criteri per indicare al server di destinazione come comportarsi con la posta che non supera i controlli SPF e DKIM ma che dichiara di provenire dal tuo dominio.

• p=none indica al destinatario di non eseguire alcuna azione contro la posta non autenticata, ma di inviare i report di posta elettronica all’indirizzo “mailto:” elencato nel record DMARC.
• p=quarantine indica al destinatario di mettere in quarantena i messaggi non qualificati (ad esempio, inviandoli direttamente a un filtro anti-spam o di posta indesiderata invece che nella casella di posta).
• p=reject indica al destinatario di rifiutare la posta non qualificata. Solo le email verificate arriveranno alla casella di posta. La posta rifiutata è semplicemente respinta.

rua=mailto:

Questa sezione indica al server di destinazione dove può inviare i report DMARC aggregati. I report includono informazioni di alto livello sui problemi DMARC, ma non sono molto dettagliati.

ruf=mailto:

Simile a rua=mailto:, ruf=mailto: indica al server di destinazione dove può inviare rapporti forensi (dettagliati) sugli errori DMARC. Questi report vengono inviati in tempo reale all’amministratore del dominio e includono dettagli su ciascun incidente.

fo=

Questa sezione visualizza uno dei diversi valori relativi alle opzioni di reporting forense:

• 0 genera report quando tutti i meccanismi di autenticazione non producono un risultato DMARC positivo
• 1 genera report in caso di errore di un meccanismo
• d genera report se non è possibile verificare le firme DKIM
• s genera report se SPF non funziona

sp=

Quando nel record DMARC è elencato un valore opzionale sp=, questo indica al server di destinazione se deve applicare i criteri DMARC ai sottodomini.

adkim=

Anche un valore opzionale, ovvero adkim=, imposta l’allineamento DKIM su s (strict) o r (relaxed). “Strict” significa che la parte DKIM passerà solo quando il campo d= della firma DKIM corrisponde esattamente all’indirizzo di provenienza. L’opzione “relaxed” consente ai messaggi di superare la parte DKIM se il campo DKIM d= corrisponde al dominio principale dell’indirizzo del mittente ed è implicita se adkim= non è specificato nel record.

Ad esempio, in modalità “relaxed”, mail.mailchimp.com, mx1.mail.mailchimp.com e mailchimp.com si allineano l’uno all’altro, poiché condividono lo stesso dominio aziendale (mailchimp.com). Nella modalità “strict”, ciascuno può allinearsi solo con se stesso (mailchimp.com si allineerebbe solo con mailchimp.com).

ri=

È possibile trovare anche il valore ri= quando si esamina un record DMARC. Questo valore imposta l’intervallo per la frequenza preferita dei report aggregati elencati in rua=mailto:.

aspf=

Un altro valore opzionale, aspf= imposta il rigore richiesto per l’allineamento SPF a s (strict) o r (relaxed). “Strict” significa che l’SPF si allineerà solo quando il dominio Mail From (chiamato anche SPF from, envelope from o indirizzo di bounce) corrisponde esattamente all’header from (conosciuto anche come “friendly from”). L’impostazione “relaxed” consente l’allineamento di SPF se i domini Mail From e Header From condividono lo stesso dominio aziendale.

Ad esempio, quando aspf è impostato su “relaxed”, mail.mailchimp.com, mx1.mail.mailchimp.com e mailchimp.com si allineano l’uno all’altro, poiché condividono lo stesso dominio aziendale (mailchimp.com). Come adkim, aspf ha come impostazione predefinita l’opzione relaxed.

pct=

L’uso di questo valore opzionale consente al proprietario di un dominio di verificare l’impatto del DMARC sull’invio, impostando una percentuale sul numero di email inviate con un determinato criterio. Questo può essere utile quando si implementa per la prima volta il DMARC per misurare la differenza nel successo di consegna delle email inviate dal proprio dominio. Ad esempio, p=reject; pct=50 significa che il 50% delle email è soggetto al criterio più severo, mentre il restante 50% è soggetto al criterio immediatamente meno severo successivo, la quarantena nel nostro caso.

Implementazione di DMARC

DMARC.org, un’iniziativa non profit volta a promuovere l’uso del DMARC, raccomanda di implementarlo seguendo i 5 passi indicati sotto:

1. Installa SPF e DKIM.
2. Verifica che i messaggi siano allineati con gli identificatori appropriati.
3. Pubblica un record DMARC con il flag “none” per attivare i report sui dati.
4. Analizza i dati e apporta le modifiche necessarie.
5. Modifica i flag dei criteri DMARC in “quarantine” o “reject” man mano che acquisisci esperienza. Utilizza pct= per impostare una percentuale sui flag dei criteri e verificarne l’impatto sulla consegna.

DMARC.org sottolinea che la distribuzione di DMARC non è facile e immediata, ma l’impiego di questo metodo può aiutare tutti i soggetti coinvolti a passare agevolmente a una distribuzione completa nel tempo.

Una volta implementato il DMARC, è possibile testarlo alla pagina Email Authentication Tester del National Institute of Standards and Technology. Questa risorsa permette di testare anche SPF e DKIM, che possono essere utili per la risoluzione dei problemi.

Limiti del DMARC

Il DMARC è una tecnologia affidabile che consente di ridurre la probabilità di spoofing e phishing email, ma presenta alcuni limiti. Uno dei più significativi è la sua inefficacia contro gli attacchi di spear phishing che utilizzano i Display Name Imposter (DNI) e che rappresentano la maggior parte dei tentativi di frode via email.

Inoltre, il DMARC non è in grado di proteggere dagli spoof dei domini somiglianti. Pertanto, deve essere utilizzato insieme ad altri protocolli per la protezione dalle frodi via email.

Inoltre, il DMARC è una tecnica complessa. Le aziende con ampi bacini di talenti IT sono avvantaggiate. Tuttavia, esistono molte risorse per insegnare a chiunque come implementare il DMARC. Può richiedere molto tempo, ma è uno strumento molto utile per i proprietari di domini che desiderano mitigare le vulnerabilità dei loro sistemi di posta elettronica.

È difficile stabilire con precisione quante organizzazioni utilizzeranno il DMARC, ma il numero è in costante crescita. Considerando che la stragrande maggioranza delle violazioni di dati ha origine dalle email, è chiaro che tutti potremmo trarre vantaggio da un impiego più diffuso del DMARC.

DMARC: domande frequenti

A cosa serve il DMARC?

Il DMARC è un metodo di autenticazione email utilizzato per impedire agli utenti non autorizzati di inviare email usando il tuo dominio. In genere, gli utenti non autorizzati inviano email con domini non autorizzati attraverso una tecnica chiamata “spoofing”. Lo spoofing consiste essenzialmente nella falsificazione del campo mittente di un’email, che induce gli utenti a pensare che l’email provenga da una fonte legittima. Il DMARC può aiutare a proteggere gli utenti dagli attacchi di phishing e da altre truffe dannose.

Come si fa a sapere se un dominio utilizza il DMARC?

È possibile utilizzare uno dei programmi online per la verifica dei record DMARC. Si tratta di strumenti gratuiti e facili da usare, per cui è possibile stabilire se un dominio utilizza il DMARC in pochi secondi. È sufficiente digitare l’URL del dominio da controllare e lo strumento di verifica DMARC si occuperà del resto.

Gmail utilizza DMARC?

Sì, Gmail utilizza DMARC per proteggere da spam e spoofing. In effetti, molti dei provider di posta elettronica più diffusi, tra cui AOL, Comcast e Outlook, utilizzano il DMARC. Scegliere un provider di posta elettronica che utilizzi il DMARC è importante per proteggersi da spoofing e attacchi simili. Prima di scegliere un provider email, verifica se utilizza il DMARC.

Per concludere - DMARC

Quando si parla di email ed email marketing, la sicurezza è fondamentale e il DMARC aiuta a prevenire gli attacchi di spoofing che possono compromettere la sicurezza degli utenti. Con il DMARC, proteggi il tuo dominio dall’uso non autorizzato da parte di spammer e truffatori, in modo da salvaguardare la tua reputazione e i tuoi clienti.

L’email marketing può essere molto impegnativo per i proprietari di piccole imprese. Fortunatamente, Mailchimp si fa carico della gestione delle email, grazie a strumenti di marketing automation e di analisi che ti consentono di risparmiare tempo e di potenziare le campagne di email marketing. Se hai bisogno di aiuto con l’email marketing, prova subito Mailchimp.